特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序，这个名称来源于公元前十二世纪希腊和特洛伊之间的一场战争。由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限，使得它成为了黑客们最为常用的工具之一。

特洛伊木马本质上就是一种客户/服务器模式的网络程序，其工作原理是一台主机提供服务器作为服务器端，另一台主机接受服务作为客户端。服务器端的程序通常会开启一个预设的连接端口进行监听，当客户端向服务器端的这一连接端口提出连接请求时，服务器端上的相应程序就会自动执行，来回复客户端的请求，并提供其请求的服务。对于特洛伊木马来说，功能端程序安装在被攻击的主机上，它也是木马大部分功能的实现端，木马对被攻击主机的所有控制功能也都集中在服务器端。木马的控制端程序通常安装在攻击者的主机上，用于控制功能端，向功能端发出各种命令，使得功能端程序按照攻击者意图实现各种远程控制功能。特洛伊木马近几年与反病毒软件、防火墙等防御工具的不断较量中，技术越来越进步，攻击模式也从最早的传统攻击模式升级成为由传统攻击模式、反弹攻击模式和第三方中介攻击模式混合的方式。所谓的传统攻击模式就是前面说到的由服务端打开端口，等待连接：客户端首先发出连接请求与服务端建立连接；然后实施攻击，这种攻击模式出现的比较早，使用的也最为普遍，现有的大多数木马都是采用的是这种攻击模式。随着人们安全意识的不断提高，很多计算机安装有防火墙，由于防火墙默认的规则都是禁止由外向内发起的连接，导致传统攻击模式不能成功，于是特洛伊木马进化出新的木马攻击模式即反弹攻击模式。这种攻击模式先由客户端使用合法的报文激活服务端，然后由服务端主动连接客户端，形成防火墙不禁止的由内而外连接，进而开始攻击，这种攻击模式称为反弹攻击模式。又因为有些攻击方仅仅需要传递很少的控制信息，攻击者为了更好的隐藏自己，防止木马被发现了以后自己受到追查所进化出来的一种攻击模式。通过服务器端和客户端不直接进行连接而是通过电子邮件服务器或者攻击者控制的肉鸡作为中介进行信息交互，客户端将控制进行发送到第三方中介上，服务器端定期到第三方中介获取控制信息，并将窃取的信息放到第三方中介上，由客户端自己来取。